In che modo la nuova opzione 2FA di Twitter potrebbe rendere il tuo account più sicuro
Punti chiave
- La criminalità informatica è in aumento da quasi mezzo decennio, con gli attacchi di phishing particolarmente problematici nell'ultimo anno.
- Dal 2016, Twitter ha subito diversi attacchi informatici di alto profilo e ora offre agli utenti l'opzione di chiavi di sicurezza fisiche.
- La società afferma che il metodo è uno dei modi più efficaci per proteggere un account.
Dopo quasi mezzo decennio di criminalità informatica in aumento e un anno segnato da violazioni di alto profilo, Twitter offre una nuova funzionalità di sicurezza che potrebbe aiutare a ridurre il rischio di attacchi mirati agli account degli utenti.
Secondo un post sul blog pubblicato il 30 giugno, il gigante dei social media offre ora agli utenti la possibilità di rendere le chiavi di sicurezza fisiche il loro unico metodo a due fattori autenticazione (2FA): una mossa che potrebbe aiutare a rendere gli account più sicuri eliminando il precedente requisito per un backup più debole metodi.
Tuttavia, gli esperti avvertono che ogni metodo di 2FA ha dei compromessi.
"Il problema è che nessuno di questi [metodi di autenticazione] è davvero assoluto come la gente pensa che sia", Joseph Steinberg, esperto di sicurezza informatica da 25 anni e autore di numerosi libri tra cui Sicurezza informatica per manichini, ha detto a Lifewire per telefono.
Chiavi di sicurezza fisica, spiegato
Secondo Steinberg, esistono diversi tipi di autenticazione a più fattori, ciascuno con i propri vantaggi e svantaggi.
Le chiavi di sicurezza fisiche, come quelle offerte da Twitter, sono piccoli dispositivi che gli utenti devono collegarsi fisicamente o sincronizzarsi con i propri dispositivi personali per accedere ai propri account, proprio come chiavi della macchina. Ciò offre il vantaggio di impedire agli hacker di accedere agli account in remoto tramite attacchi di phishing o malware.
"... È improbabile che qualcuno cambi ora quando ci sono meccanismi più semplici che sono considerati abbastanza buoni."
Secondo il post sul blog di Twitter, le chiavi "possono differenziare i siti legittimi da quelli dannosi e bloccare i tentativi di phishing che SMS o codici di verifica non farebbero".
In teoria, le chiavi offrono la soluzione di sicurezza più potente per gli utenti, ma sono anche una delle soluzioni meno convenienti per gli utenti di tutti i giorni.
"Il principale svantaggio è che ora devi portare con te la chiave oltre al telefono", ha spiegato Steinberg. "Quindi, se vuoi twittare dalla spiaggia, hai con te il telefono e la chiave di sicurezza".
Steinberg ha anche avvertito che le chiavi di sicurezza fisiche comportano il rischio di essere perse, il che potrebbe comportare il blocco dell'utente dal proprio account.
Bilanciare i compromessi
Metodi di autenticazione meno sicuri, come l'invio di un codice di accesso al telefono cellulare, sono spesso più convenienti per gli utenti rispetto alle chiavi di sicurezza fisiche, ma possono comportare un rischio maggiore.
Steinberg ha affermato che gli hacker possono intercettare i codici SMS attraverso metodi come Scambio di SIM, dove i ladri rubano il numero di telefono di un utente e ricevono i codici sul proprio dispositivo.
"Se fai affidamento sui messaggi di testo e qualcuno in qualche modo ruba il tuo numero di telefono e inizia a ricevere i tuoi messaggi di testo, hai un problema perché riceveranno i tuoi codici e saranno in grado di reimpostare le tue password", Steinberg disse.
Le app di autenticazione che generano un codice di accesso una tantum sono un altro metodo popolare di 2FA, ma comportano comunque il rischio di accesso da parte degli hacker.
"Se un utente accede a un sito di phishing e inserisce quel codice, il phisher ha quel codice e può trasmetterlo al vero sito immediatamente", ha spiegato Steinberg, aggiungendo che c'è anche il rischio di perdere il telefono e quindi di perdere l'accesso all'app.
Anche metodi più complessi, come l'autenticazione biometrica delle impronte digitali, possono comportare dei rischi.
"Le tue impronte digitali sono su tutto il telefono dal toccarlo", ha detto Steinberg, spiegando che i ladri sofisticati può sollevare le tue stampe e usarle per accedere a un dispositivo. "Il sensore di impronte digitali non ha un modo per determinare se si tratta di un vero essere umano che mette il dito lì, rispetto a qualcuno che mette l'immagine di un'impronta digitale che è stata sollevata dal telefono".
Soppesare i benefici
A causa dell'inconveniente di portare con sé una chiave di sicurezza fisica aggiuntiva, Steinberg ha affermato di non vedere la maggior parte degli utenti di tutti i giorni effettuare il passaggio offerto da Twitter.
"Il problema è che nessuno di questi [metodi di autenticazione] è davvero così assoluto come la gente pensa che sia".
"La mia esperienza è stata che anche le cose che sono una piccola seccatura quando si tratta di sicurezza, a meno che qualcuno non sia stato violato e abbia subito gravi conseguenze: è improbabile che qualcuno cambi ora quando ci sono meccanismi più semplici che sono considerati abbastanza buoni", Steinberg disse.
Tuttavia, Steinberg ha affermato che gruppi specifici di utenti, come aziende e individui di alto profilo, potrebbero beneficiare delle chiavi di sicurezza fisiche.
Sebbene non esista una soluzione perfetta per proteggere l'account dei social media di un utente, Steinberg ha sottolineato che qualsiasi forma di multifattore l'autenticazione è meglio di niente, poiché gli account social vengono spesso utilizzati per accedere ad altri account collegati attraverso piattaforme.
"Se oggi non utilizzi l'autenticazione a due fattori per i tuoi account sui social media, attivala", ha detto Steinberg.